Facebook affirme que les cyber-espions utilisent de fausses applications WhatsApp et Signal pour espionner des milliers de personnes

Un groupe d’espionnage en ligne soupçonné d’opérer depuis l’Inde et le Pakistan a espionné des milliers de personnes utilisant des logiciels malveillants se faisant passer pour des applications de messagerie sécurisée populaires, selon un nouveau rapport de Facebook.

Le rapport détaille les efforts d’un groupe connu sous le nom de Bitter APT, qui a installé des logiciels malveillants sur les appareils Android via de fausses versions des applications de messagerie cryptées WhatsApp, Signal et Telegram, qui ont gagné en popularité parmi les Ukrainiens en tant qu’outil pour communiquer des informations sur le Russe. invasion (APT signifie “Advanced Persistent Threat” et est une désignation généralement donnée aux groupes de pirates parrainés par l’État). Appelé “Dracarys”, un nom trouvé dans le code du malware et une possible référence à Jeu des trônes, Facebook affirme que le logiciel malveillant peut supprimer toutes sortes d’informations d’un appareil Android, y compris les journaux d’appels, les contacts, les fichiers, les messages texte et les données de géolocalisation. Il peut également accéder à la caméra et au microphone d’un appareil.

Dracarys a été propagé sur les réseaux sociaux de Meta, Facebook et Instagram, par des pirates se faisant passer pour de jolies jeunes femmes, journalistes ou militantes, qui convainquent leurs cibles de télécharger la fausse application. Une fois qu’ils le font, Dracarys abuse des fonctionnalités d’accessibilité destinées à aider les utilisateurs handicapés à cliquer automatiquement et à accorder de larges autorisations d’appareil, telles que la possibilité d’accéder à la caméra.

Selon Facebook, l’astuce signifiait que le logiciel malveillant pouvait collecter des données sur le téléphone et sembler légitime, ce qui signifie que les systèmes antivirus ne l’ont pas détecté. “Cela montre que Bitter a réussi à réimplémenter des fonctionnalités malveillantes courantes d’une manière qui n’a pas été découverte par la communauté de la sécurité depuis un certain temps”, écrit Facebook dans son rapport.

Précédemment, Forbes le rapport a trouvé des liens entre Bitter APT et le gouvernement indien, après que le groupe a acquis l’outil de piratage Microsoft Windows d’une société américaine. Le géant des médias sociaux appartenant à Meta n’a pas dit s’il pensait que le Bitter APT était d’origine indienne, mais a noté qu’il opérait depuis l’Asie du Sud, ciblant des personnes en Nouvelle-Zélande, en Inde, au Pakistan et au Royaume-Uni. La division de recherche sur la cybersécurité Talos de Cisco a récemment déclaré que le groupe menait des attaques depuis 2013 contre des entités énergétiques, d’ingénierie et gouvernementales en Chine, au Pakistan et en Arabie saoudite.

Android n’a peut-être pas été la seule cible de Bitter APT. Facebook a également vu les faux personnages du groupe distribuer des liens vers des téléchargements d’une application de chat pour iPhone. Les pirates ont tenté de convaincre les cibles de télécharger le service Testflight d’Apple pour que les développeurs testent les applications, puis installent l’application de chat. En utilisant Testflight, les pirates n’avaient pas à s’appuyer sur un piratage technique sophistiqué de l’iPhone, mais uniquement sur leurs compétences en ingénierie sociale. Facebook n’a pas été en mesure de déterminer si ce logiciel contenait réellement du code malveillant, mais a émis l’hypothèse qu ‘”il aurait pu être utilisé pour un développement social ultérieur sur un support de discussion contrôlé par un attaquant”. La société a fait part de ses conclusions à Apple.

Apple n’avait pas commenté au moment de la publication.

Un porte-parole de Google a déclaré : “Les logiciels malveillants Android n’ont pas été téléchargés et distribués via le Play Store. Tous les domaines de distribution ont été bloqués dans Google Safe Browsing, et les utilisateurs d’Android qui ont installé ces packages recevront un avertissement sur leur appareil.”

Jeudi, Facebook a également annoncé une action contre une unité de piratage publique basée au Pakistan, connue sous le nom d’APT36. Il a également créé des outils d’espionnage Android qui ont été publiés sous forme d’applications, notamment WhatsApp, le réseau social chinois WeChat et YouTube. Ce malware était en fait une version modifiée d’un outil Android bien connu connu sous le nom de XploitSPY, “développé à l’origine par un groupe de pirates éthiques autodéclarés en Inde”. Il était également capable de surveiller les contacts, les listes d’appels et d’écouter les victimes via le microphone de l’appareil. APT36 avait été vue ciblant des personnes en Afghanistan, en Inde, au Pakistan, aux Émirats arabes unis et en Arabie saoudite, “y compris du personnel militaire, des responsables gouvernementaux, du personnel d’organisations de défense des droits de l’homme et d’autres organisations à but non lucratif, ainsi que des étudiants”.

Mike Dvilyanski, responsable des enquêtes sur le cyberespionnage de Facebook, a déclaré que Meta avait identifié 10 000 utilisateurs dans au moins neuf pays qui pourraient avoir été ciblés par APT36 et Bitter APT et est en train d’avertir les utilisateurs directement sur Facebook et Instagram. “Si nous pensons que vous avez pu entrer en contact avec l’un de ces groupes, nous souhaitons vous en informer et nous vous indiquerons les outils que vous pouvez utiliser pour sécuriser votre présence en ligne”, a-t-il déclaré. Forbes.

Ni l’ambassade pakistanaise ni l’ambassade indienne à Londres n’avaient répondu aux demandes de commentaires au moment de la publication.